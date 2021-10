Il servizio di messaggistica istantanea Telegram è sempre più usato da criminali informatici, alcuni esperti hanno addirittura equiparato la sua funzione nell’ecosistema criminale a quella dei principali black marketplace in uso nel dark web, cerchiamo di comprenderne le ragioni.

Telegram offre ai propri utenti la possibilità di utilizzare i “canali,” strumenti concepiti per diffondere messaggi pubblici a una platea di iscritti illimitata. Altra caratteristica che piace dei canali è che quando vi si scrive qualcosa, i messaggi sono pubblicati con il nome del canale e non visualizzando il nome dell’autore. Proprio questi canali sono utilizzati da molteplici comunità di criminali e black hat hacker per vendere, scambiare e comprare molteplici tipologie di servizi e prodotti illegali, come dati relativi alle carte di pagamento, archivi provenienti da violazioni di dati, servizi ransomware-as-a-service, e perfino accessi ad infrastrutture compromesse e strumenti di hacking. Insomma, ci troviamo dinanzi ad un fornito bazar del crimine!

Va detto tuttavia che per accedere ad un canale è comunque necessario un numero di telefono, che sebbene nascosto agli altri utenti, è noto ai gestori della piattaforma e quindi accessibile alle forze dell’ordine in caso di investigazione. Questo però non rappresenta un problema in quanto non è complesso per un criminale recuperare un numero di telefono intestato ad ignari utenti, esiste un mercato anche per questa tipologia di prodotti richiestissimi dalle organizzazioni criminali.

A dimostrazione del crescente interesse per Telegram da parte di criminali informatici, vi cito una ricerca pubblicata di recente dall’azienda di sicurezza vpnMentor che mostra come alcuni gruppi abbiamo preso ad usare il servizio Telegram per le proprie attività illecite.

Gli esperti dell’azienda si sono uniti a diversi gruppi e canali Telegram incentrati sul crimine informatico scoprendo un’intensa attività volta alla commercializzazione di dati all’interno di rete che talvolta coinvolgono migliaia di individui.

“In primo luogo, ci sono i canali di Telegram, dove gli hacker pubblicano dump di dati con brevi spiegazioni su ciò che le persone possono trovare all’interno. Questi canali sono per lo più passivi, con minime conversazioni tra gli iscritti. Alcuni canali hanno oltre 10.000 iscritti”. spiegano gli esperti. “Molto diffusi anche gruppi dedicati all’hacking, in cui centinaia di membri discutono attivamente di vari aspetti del crimine informatico e di come sfruttare gli archivi risultati da violazioni di dati e condivisi all’interno della comunità”.

Oltre alla semplicità d’uso rispetto ad un blackmarket nel dark web, Telegram presenta indubbi vantaggi per l’impresa criminale, ad esempio non è necessaria la creazione e gestione di un sito web per la pubblicizzazione e vendita dei prodotti e servizi. Inoltre, un sito web potrebbe essere oggetto di attacco da parte di altre gang criminali e forze dell’ordine, eventualità non possibile quando si utilizza una piattaforma come Telegram.

Fonte vpnMentor

Tuttavia, secondo gli esperti, il dark web è ancora il posto migliore dove reperire nuovi archivi risultanti da violazioni di dati e codici per sfruttare falle non note (zero-day exploit). Secondo vpnMentor, la maggior parte degli archivi ed exploit condivisi su Telegram sono già stati venduti nei principali black marketplace nelle darknet oppure quando per qualche ragione la vendita è fallita. Potremo quindi definire prodotti e servizi condivisi su canali Telegram, come di seconda mano.

Un altro studio condotto da Cyberint e commissionato dal Financial Times suffraga la tesi che molte attività cyber criminali beneficino dell’app di messaggistica istantanea.

Lo studio menziona tra gli aspetti positivi dell’utilizzo di Telegram per attività criminali, il controllo lasco esercitato dall’azienda sui contenuti, soprattutto se comparato alle attività di moderazione implementate da molte piattaforme di social media.

“Di recente abbiamo assistito a un aumento del 100% dell’utilizzo di Telegram da parte dei criminali informatici”, ha spiegato Tal Samra, analista delle minacce informatiche presso Cyberint. “Il suo servizio di messaggistica crittografata è sempre più popolare tra gli attori delle minacce che conducono attività fraudolente e vendono dati rubati… poiché è più comodo da usare rispetto al dark web”.

Gli esperti hanno osservato un picco nel numero di collegamenti a gruppi o canali di Telegram condivisi nei forum di cybercrime e hacking del dark web, secondo lo studio il numero è passato da 172.035 nel 2020 a oltre 1 milione nel 2021.

I ricercatori di Cyberint hanno analizzato i messaggi scambiati dai membri dei canali e hanno osservato un picco nel numero di parole comunemente usate nelle comunità hacker, come “Combo” ed “Email:pass”.

Queste parole riferiscono lotti di credenziali rubate e secondo gli esperti il loro numero all’interno delle chat è quadruplicato negli ultimi 12 mesi, arrivando a quasi 3.400 istanze, dato che testimonia l’intensa attività all’interno di questi canali.

Gli esperti hanno citato il caso di un canale pubblico di Telegram chiamato “combolist”, che aveva più di 47.000 abbonati, utilizzato da attori malevoli per acquistare, vendere e divulgare archivi di dati rubati (data dump).

Altri canali di telegramma analizzati nel corso dello studio sono utilizzati per scambiare dati finanziari, inclusi dati di carte di credito, credenziali di accesso a conti bancari e altri servizi online e copie di passaporti.

Cosa fa Telegram per arginare questo preoccupante fenomeno?

Telegram ha rilasciato una dichiarazione per annunciare di aver in essere “una politica per la rimozione dei dati personali condivisi senza consenso”. Ha inoltre aggiunto che concentrerà maggiori sforzi per il contrasto agli abusi della sua piattaforma impiegando un crescente numero di moderatori professionisti. Ad oggi sono più di 10.000 le comunità pubbliche che sono state rimosse a seguito delle segnalazioni degli utenti per violazione dei termini di servizio.

Purtroppo per le ragioni esposte, l’uso dei canali Telegram da parte di organizzazioni dedite al crimine informatico continuerà ad aumentare. Attraverso l’utilizzo di piattaforme di instant messaging l’accesso a prodotti e servizi illegali è semplice e relativamente sicuro e non richiede specifiche conoscenze. Solo un’importante azione di moderazione dalle aziende che gestiscono queste piattaforme potrebbe disincentivarne il crescente uso.